Resumo da notícia
BC exige prova de reservas das exchanges
Certificação técnica independente torna-se obrigatória
Empresas têm até fevereiro para se adequar
O Banco Central do Brasil divulgou nesta quinta-feira, 22, uma nova regulamentação para que bancos e outras instituições autorizadas possam negociar criptomoedas. A Instrução Normativa BCB nº 701, detalha os requisitos formais e técnicos que as companhias precisam cumprir para atuarem de forma regularizada no Brasil, em especial nos serviços de intermediação e custódia de criptomoedas.
O Banco Central afirma que a nova norma tem como foco garantir proteção ao consumidor, fortalecer a segurança operacional e criar padrões mínimos para empresas que movimentam bilhões de reais em ativos digitais no país.
De acordo com Anna Lucia Berardinelli Castello Branco, sócia da área de Ativos Digitais, Blockchain e Web3 do Villemor Amaral Advogados, a nova regra não se aplica a todas as prestadoras de serviços de ativos virtuais, como exchanges.
Seu escopo é claramente delimitado: ela incide exclusivamente sobre as instituições financeiras reguladas pelo Banco Central listadas no art. 20 da Resolução BCB nº 520/2025 – com exceção expressa das sociedades corretoras de câmbio – que pretendam ofertar serviços de intermediação e custódia de criptoativos.
Assim, como mostra a advogada, na prática, a norma alcança bancos, a Caixa Econômica Federal, sociedades corretoras e distribuidoras de títulos e valores mobiliários. De acordo com ela, as corretoras de câmbio, embora formalmente mencionadas no art. 20, foram expressamente afastadas desse regime específico e, portanto, não se submetem ao procedimento disciplinado pela Instrução Normativa 701.
Para esse grupo restrito de instituições financeiras, a Resolução 520 instituiu um modelo próprio de ingresso no mercado cripto: não há exigência de autorização prévia formal, mas o início das atividades só pode ocorrer após 90 dias da comunicação ao Banco Central, desde que essa comunicação venha acompanhada de certificação técnica independente que comprove o atendimento integral aos requisitos regulatórios”, afirma.
Empresas estrangeiras
Anna Lucia destaca ainda que um aspecto relevante diz respeito às empresas estrangeiras que já operavam no Brasil antes da entrada em vigor da Resolução 520. O art. 23 dessa norma determinou que tais entidades não podem continuar operando diretamente e devem, em até 270 dias, transferir suas operações e clientes para uma entidade local. Essa migração pode ocorrer por dois caminhos distintos:
(i) para uma instituição financeira do art. 20; ou
(ii) para uma sociedade prestadora de serviços de ativos virtuais (SPSAV).
O ponto central está no §3º do art. 23. Ele vincula a obrigação de comunicação ao Banco Central apenas quando a sucessora da empresa estrangeira for uma instituição do art. 20. Nesse caso específico, o banco ou instituição financeira que absorver a operação estrangeira deve comunicar formalmente o Bacen, acompanhando essa comunicação da certificação técnica independente prevista no art. 22, §2º – exatamente o procedimento operacionalizado pela Instrução Normativa 701.
Quando a sucessão ocorre por meio de uma SPSAV, aplica-se o rito próprio de autorização dessas prestadoras, e não o regime de comunicação prévia.
O regulador foi extremamente detalhista quanto ao conteúdo da certificação. Ela deve analisar, item por item, aspectos como segregação patrimonial entre ativos próprios e de clientes, prova de reservas, governança, compliance, gestão de riscos, segurança cibernética, controles internos, critérios de listagem e deslistagem de tokens, contratos de custódia, planos de contingência e recuperação de ativos, terceirização de serviços relevantes, uso de computação em nuvem e políticas de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. A norma veda expressamente pareceres genéricos: cada requisito precisa ser examinado de forma individualizada.
Além disso, ela também aponta que outro ponto relevante é a responsabilização da empresa certificadora. Ela deve comprovar qualificação técnica, declarar formalmente a inexistência de conflitos de interesse com a instituição auditada e manter todos os papéis de trabalho à disposição do Banco Central por, no mínimo, cinco anos. O modelo se aproxima do padrão de auditorias prudenciais já exigidas no sistema financeiro.
Aqui surge um ponto sensível e ainda em aberto no mercado: quem, afinal, serão essas “empresas qualificadas independentes” aptas a emitir tais certicações?Não se trata de uma auditoria contábil tradicional. O escopo exigido pelo Banco Central é muito mais amplo e sofisticado, demandando conhecimento técnico em custódia de criptoativos, arquitetura de sistemas, segurança cibernética, blockchain forensics, proof of reserves, governança, compliance regulatório e gestão de riscos.
Segundo ela, hoje, esse ecossistema ainda é incipiente no Brasil. Na prática, o papel tende a ser ocupado por três perfis de players:
grandes firmas globais de auditoria que vêm estruturando práticas específicas para ativos digitais;
empresas especializadas em cibersegurança e infraestrutura blockchain, com capacidade técnica real para avaliar custódia e controles tecnológicos;
consultorias regulatórias e tecnológicas com histórico comprovado no setor cripto.
O desafio, segundo a especialista, é que o número de empresas que realmente reúnem independência, expertise técnica profunda e capacidade de produzir relatórios no padrão exigido pelo Bacen é reduzido. Isso tende a gerar concentração de mercado, aumento de custos e uma corrida por profissionais especializados. A própria regulação, portanto, acaba por criar um novo nicho: o das auditorias prudenciais especializadas em criptoativos.
Do ponto de vista institucional, a mensagem do Banco Central é inequívoca: a licença bancária não funciona como atalho para operar cripto. Ao contrário, os grandes players financeiros – inclusive quando passam a absorver operações antes realizadas por estruturas estrangeiras – estão sendo submetidos a um escrutínio técnico rigoroso, compatível com seu risco sistêmico.Na prática, isso tende a produzir dois efeitos. De um lado, eleva significativamente o padrão de governança e proteção ao cliente, aumentando a confiança institucional no setor. De outro, impõe uma barreira de entrada relevante, exigindo investimentos expressivos em estrutura, compliance e tecnologia por parte das instituições interessadas.
